“실력으로 겨뤘다. 최정예 공격팀과 수비팀 간 긴밀한 협력이 이뤄졌다. 충분한 인원으로 구성돼 휴식이 가능했던 것도 비결이다.”

미국 라스베이거스에서 지난 9일(현지시간)부터 12일까지 열린 세계 최고 해킹방어대회 ‘데프콘(DEFCON)26 CTF’에서 한국팀이 포함된 연합팀인 ‘DEFKOR00T’팀이 우승하는 쾌거를 올렸다.

2015년 한국 화이트해커팀 ‘DEFKOR’가 아시아 최초로 우승한 이래 두 번째다. 작년까지 최근 2년간 연속 우승한 미국 PPP팀을 제쳤다.

우승팀 ‘DEFKOR00T’는 한국정보기술연구원(KITRI, 원장 유준상)이 운영 중인 ‘차세대 보안리더 양성 프로그램(BoB)’ 멘토와 수료생들로 구성된 최정예 화이트해커팀인 ‘DEFKOR’ 13명과 미국 조지아 공대에서 만든 ‘ROOTIMENTARY’ 6명으로 구성됐다.

BoB 멘토인 라온시큐어 화이트햇센터 이종호 팀장과 구글 프로젝트 제로 소속의 유명 해커 이정훈 연구원, 오리건 주립대 장영진 교수, BoB 교육생인 고려대 사이버국방학과 정보보호동아리(Cykor) 출신 10명(현재 국방과학연구소, 고려대 소속), 조지아 공대 김태수 교수와 대학원생 5명이 참여했다.

올해 DEFCON26 CTF에서 DEFKOR00T팀이 24개 세계 최강 해킹팀들고 겨뤄 1위로 우승을 차지했다. <사진=과학기술정보통신부>

전세계 화이트해커들이 팀을 구성해 참여한 예선을 뚫고 본선에 출전한 24개 정상급 해커팀들과 치열한 접전을 벌여 우승을 거머쥐었다. 이 대회 본선에 한국 화이트해커들은 4개팀이 진출했다.

이번 대회 우승비결은 무엇일까?

KITRI가 지난 24일 서울 가산디지털단지 대성디폴리스지식산업센터에 새롭게 확장 이전한 BoB 센터에서 개최한 기자간담회에서 만난 이번 대회 우승팀 멤버들은 가장 먼저 “자동화 도구를 사용할 수 없는 등 대회 운영방식이 바뀌면서 오로지 실력으로 승부했다”고 전했다.

DEFCON CTF 우승팀에 소속돼 출전한 임정원, 이대진 해커. 이들은 BoB BEST10 수상자로, 고려대 사이버국방학과 학생이다. <사진=바이라인네트워크>

2015년 대회와 2018년 대회에 모두 참가했던 임정원(BoB 2기, 고려대 사이버국방학과 학생) 해커는 “대회 전 준비는 이번에 더 많이 했다. 그러나 대회방식이 달라져 준비해간 것을 거의 사용할 수 없었다”라면서 “운영진이 취약점을 자동 발견하는 제너럴 패치를 금지했기 때문이다. 또 CTF에서는 공격 당한 패킷을 일정시간 후에 제공해줘 이를 이용해 취약점을 패치했는데, 이번에는 문제를 직접 풀지 못하면 패킷 제공이 안되거나 늦게 됐다. 모든 팀이 공평하게 승부할 수 있었다고 본다”고 말했다.

임 해커는 “제너럴 패치를 못하게 하고 패킷을 늦게 준 것은 자동화된 해킹 도구가 아니라 진짜 실력으로 문제를 풀라는 것”이라며 “참가자들의 실력이 무엇보다 중요했다”고 강조했다. 이어 그는 “BoB 출신 교육생들이 좋은 교육을 받은 것은 물론 우리팀에 세계 최강 해커라 할 수 있는 이정훈 멘토가 있었던 것이 중요했다고 본다”고 덧붙였다.

이대진(BoB 3기, 고려대 사이버국방학과 학생) 해커 역시 “2015년과 비교해 우리 공격팀이 취약점을 찾고 공격하는 속도가 다른 팀에 비해 빠르다는 장점이 있었다”라며 “제너럴 패치를 자동화하는 것을 활용하는 것보다는 문제를 푸는 방식으로 순위를 매긴다고 정해놓은 이번 대회 규칙을 잘 활용할 수 있었다. 공격 시간에 더욱 많은 시간을 소비할 수 있었다”고 평가했다.

이들은 문제 난이도는 이전보다 낮아진 것으로 평가했다. 어려운 문제도 있었지만 전반적으로 쉬워진 것으로 느꼈다고 한다.

우리말로 ‘깃발 뺏기’로 풀이할 수 있는 CTF(Capture the Flag)는 공격과 방어를 문제풀이 형태로 수행하는 해킹방어 대회다. 각 팀에 제공된 서버의 취약점을 찾아 보완하고, 다른 팀을 공격해 성공하면 점수를 획득하는 방식으로 순위가 결정된다.

그만큼 참가자들의 실력은 물론 협력도 중요하다. 팀에서 공격조와 수비조를 나눠 대회를 치렀다. ‘DEFKOR00T’는 연합팀이지만 협력이 잘 이뤄진 것으로 보인다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

임정원·이대진 해커는 이종호·이정훈 멘토, 진용휘(BoB 3기, 고려대 학생) 해커와 함께 공격을 맡았다.

이 해커는 “팀에서 공격 담당과 수비담당들이 따로 있었다. 모든 인원들이 각 파트에서 아이디어를 공유한다. 대회 시작 후 공격을 맡은 사람이 있지만 아이디어를 떠올린 사람이 협조하는 역할을 수행했다. 취약점을 찾았을 때 패치하는 사람도 필요하고 대회측에서 나중에 준다고 해도 분석하는 사람도 필요했다. 함께 협력하는 방식으로 진행된다”라면서 “대회 현장과 호텔에 있는 인원까지(대회장 상주인원은 8명으로 제한됨) 19명이 함께 했다. 네트워크를 구축하고 조율하는 것을 장영진 교수께서 잘 담당해주신 것으로 기억한다”고 설명했다.

19명으로 구성된 연합팀 참가는 3일 내내 해킹대회가 이뤄지는 상황에서 지친 참가자들이 잠시나마 쉴 수 있는 여유도 제공했다. 참가자들이 우승 배경 중 하나로 ‘휴식’을 꼽은 것이 눈길을 끈다.

더욱이 작년과 재작년에 우승하지 못했던 원인 중 하나로 2015년 우승팀 참가자들이 군에 입대하거나 입사한 후 대회에 참가하지 못하는 상황이 되면서 상대적으로 적은 참가자들로 팀을 이뤄 대회에 참가했다고 꼽힌 바 있다.

임 해커는 “사람 수가 많아져 인원수가 적었을 때보다 조금이라도 더 잘 수 있었다. 이전에는 참가인원이 적었다. 협조가 이뤄지지 않아 (많은 인원이) 출전을 못했다. 인력이 적으면 오랜 기간 견디기가 힘들다. 이번에는 연합팀을 만들어 인력을 보강했고 충분한 휴식을 취할 수 있었다. 출제 방식이 이번에 바뀌었지만 얼마든지 해낼 수 있었다”고 했다.

한국팀만 떼놓고 2015년 우승팀 현황과 비교해봐도 이번에는 참가자들의 소속이 다양해졌다. 당시 ‘DEFKOR’팀은 이종호·이정훈 BoB 멘토(당시 두명 모두 라온시큐어 소속) 외에 라온시큐어 연구원 1인 외에는 모두 학생들로 구성됐었다. 고려대 정보보호동아리 소속 BoB 교육생들과 조지아 공대 두 명이다.

올해 연합팀에 참가한 ‘DERKOR’팀에는 BoB 수료생 가운데 고려대 학생들 외에도 국방과학연구소(ADD) 소속 5명이 포함됐다. 만일 ADD에서 대회 참가를 허용하지 않았다면 인원 수가 모자라 작년과 재작년에 문제로 지적됐던 상황이 되풀이 됐을 가능성도 배제할 수는 없다.

이날 자리에 참석한 BoB 자문위원장인 임종인 고려대학교 정보보호대학원·사이버국방학과 교수는 “데프콘 CTF에 본선 진출팀이 이전 15개팀에서 24팀으로 늘었다. 한국에서 예선을 통과한 팀이 4팀이 나왔다. 모든 팀이 20등 안에 들었고, 우승해 미국 PPP팀이 3연패하는 상황을 막아냈다”라며 한국 해커팀들의 선전을 높게 평가했다.

그러면서 임 교수는 “이번에 3등은 대만팀에서 했는데, 대만은 국제해킹대회 ‘히트콘(HITCON)’을 열고 있고 국가에서 최정예 인력이 한 팀으로 나와서 성적을 올렸다. 이 점에서 볼 때 전력을 분산시키지 말고 모을 필요가 있다. 해킹팀들이 결정할 상황이지만 결심이 설 경우 적극 도울 필요가 있다”고 제안했다.

국가 차원의 지원이 필요하다는 목소리도 나왔다.

이기택 BoB 멘토(삼성전자 소속)은 “국내에서 실시되는 해킹대회에서 우리나라 해커들이 실력 키울 수 있는 다양한 기회를 줬다. 이를 토대로 세계 해킹대회에서 정점을 찍은 해커들이 두각을 나타냈다. 기반 자체는 마련돼 있지만 영속적으로 가기에는 국가 차원이든 주변에서든 지원이 필요하다. 일본과 대만, 중국 등은 적극 지원해 (해커와 보안인력을) 양성한다. 이들은 BoB조차도 따라 배우려하고 있다. 쫓아오는 나라들을 뿌리치고 한단계 더 도약하려면 지원이 필요하다”고 바람을 나타냈다.

‘데프콘(DEFCON)’은 1993년 유명 해커인 제프모스(Jeff Moss)에 의해 설립된 세계에서 가장 큰 해커들의 축제다. 보안 실무자들이 참석해 해킹기법, 보안이슈 및 분석방안을 공유하는 컨퍼런스와 해킹방어대회 등으로 구성된다.

CTF는 4회 대회부터 CTF 운영방식을 채택해오고 있으며, 3~4년마다 해킹그룹이 번갈아가며 대회를 주관하고 있는 것으로 알려져 있다.

<관련기사> 차세대 보안인재 키우는 BoB 가산시대 열었다…내년 교육생 200명으로 확대

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network